View a markdown version of this page

Interfacce di rete multiple per istanze Amazon EC2 - Amazon Elastic Compute Cloud
Gestione di reteApparecchiature di rete e sicurezzaDual-homed istanze con carichi di lavoro in diverse sottoretiDual-homed istanze con carichi di lavoro in diversi VPC nello stesso accountLow-budget, soluzione ad alta disponibilità

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Interfacce di rete multiple per istanze Amazon EC2

Il collegamento di più interfacce di rete a un'istanza risulta utile quando ti serve ciò che segue:

Gestione di rete

La seguente panoramica descrive una gestione di rete creata utilizzando più interfacce di rete.

Criteri

  • L'interfaccia di rete primaria sull'istanza (per esempio, eth0) gestisce il traffico pubblico.

  • L'interfaccia di rete secondaria sull'istanza (per esempio, eth1) gestisce il traffico di gestione del backend. È connessa a una sottorete separata con controlli di accesso più restrittivi e si trova nella stessa zona di disponibilità dell'interfaccia di rete principale.

Settings

  • L'interfaccia di rete principale, che può essere o meno dietro un sistema di bilanciamento del carico, ha un gruppo di sicurezza associato che consente l'accesso al server da Internet. Ad esempio, consenti le porte TCP 80 e 443 a partire dalla versione 0.0.0. 0/0 o dal sistema di bilanciamento del carico.

  • L'interfaccia di rete secondaria ha un gruppo di sicurezza associato che consente solo l'accesso SSH, avviato da una delle seguenti posizioni:

    • Un intervallo consentito di indirizzi IP, all'interno del VPC privato virtuale o da Internet.

    • Una sottorete privata all'interno della stessa zona di disponibilità dell'interfaccia di rete principale.

    • Un gateway privato virtuale.

Nota

Per garantire le funzionalità di failover, considera di utilizzare un indirizzo IPv4 privato secondario per il traffico in entrata su un'interfaccia di rete. In caso di errore dell'istanza, è possibile spostare l'indirizzo IPv4 privato and/or secondario dell'interfaccia in un'istanza di standby.

Creazione di una rete di gestione

Apparecchiature di rete e sicurezza

Alcune appliance di rete e sicurezza, ad esempio i load balancer, i server Network Address Translation (NAT) e i server proxy preferiscono una configurazione basata su più interfacce di rete. È possibile creare e collegare interfacce di rete secondarie alle istanze che eseguono questi tipi di applicazioni e configurare le interfacce aggiuntive con i propri indirizzi IP pubblici e privati, gruppi di sicurezza e controlli. source/destination

Dual-homed istanze con carichi di lavoro in diverse sottoreti

Puoi inserire un'interfaccia di rete su ciascun server Web che si connette a una rete di livello intermedio in cui si trova un server applicazioni. Anche il server applicazioni può essere di tipo dual-homed in una rete backend (sottorete) in cui si trova il server di database. Anziché instradare i pacchetti di rete tramite istanze dual-homed, ogni istanza dual-homed riceve ed elabora le richieste sul front-end, stabilisce una connessione con il back-end, quindi invia le richieste ai server sulla rete back-end.

Dual-homed istanze con carichi di lavoro in diversi VPC nello stesso account

Puoi avviare un'istanza EC2 in un VPC e collegare un ENI secondario da un altro VPC, purché l'interfaccia di rete i trovi nella stessa zona di disponibilità dell'istanza. Ciò consente di creare istanze multi-homed su VPC con configurazioni di rete e sicurezza differenti. Non puoi creare istanze multi-homed tra VPC in account diversi. AWS

Puoi utilizzare le istanze dual-homed su più VPC nei seguenti casi d'uso:

  • Supera le sovrapposizioni CIDR tra due VPC che non possono essere collegati tra loro: puoi sfruttare un CIDR secondario in un VPC e consentire a un'istanza di comunicare tra due intervalli IP non sovrapposti.

  • Connetti più VPC all'interno di un unico account: abilita la comunicazione tra singole risorse che normalmente sarebbero separate dai confini del VPC.

Low-budget, soluzione ad alta disponibilità

Se l'esecuzione di una delle istanze che utilizzano una funzione specifica non riesce, la relativa interfaccia di rete può essere collegata a un'istanza hot standby preconfigurata per lo stesso ruolo in modo da consentire il rapido ripristino del servizio. Ad esempio, puoi creare un'interfaccia di rete come interfaccia di rete primaria o secondaria per un servizio fondamentale, ad esempio un'istanza di database o un'istanza NAT. Se l'istanza non riesce, tu (o più probabilmente il codice eseguito per tuo conto) puoi collegare l'interfaccia di rete a un'istanza hot standby. Dal momento che l'interfaccia conserva i propri indirizzi IP privati, gli indirizzi IP elastici e l'indirizzo MAC, il traffico di rete comincia a essere indirizzato all'istanza in standby non appena colleghi l'interfaccia di rete all'istanza di sostituzione. Gli utenti rileveranno una breve interruzione della connettività tra il momento in cui l'esecuzione dell'istanza non riesce e il momento in cui l'interfaccia di rete viene collegata all'istanza in standby. Non è tuttavia richiesta alcuna modifica alla tabella di routing VPC o al server DNS.